Лекція 4 ВІРУСИ ЯК ШКІДЛИВЕ ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ План лекції


НазваЛекція 4 ВІРУСИ ЯК ШКІДЛИВЕ ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ План лекції
Сторінка4/7
Дата21.04.2013
Розмір0.77 Mb.
ТипЛекція
bibl.com.ua > Інформатика > Лекція
1   2   3   4   5   6   7

Приклади завантажувальних вірусів

Brain, сімейство. Складається з двох практично співпадаючих нешкідливих вірусів "Brain-Ashar" і "Brain-Singapore". Вони заражають завантажувальні сектори дискет при зверненні до них (INT 13h, AH=02h). Продовження вірусу і первинний завантажувальний сектор розміщуються у вільних кластерах диска. При пошуку цих кластерів аналізують таб­лицю розміщення файлів (FAT). У FAT ці кластери позначаються як збійні ("псевдозбійні" кластери). У зараженого диска встановлюється нова мітка "(C) Brain". Віруси використовують "стелс"-механізм – при спробі проглянути завантажувальний сектор зараженого диска вони "підставляють" справжній сектор.

CMOS. Небезпечний резидентний завантажувальний стелс-вірус. Псує CMOS. Копіює себе за адресою 9F800000, перехоплює INT 13h і записується в MBR вінчестера і boot-сектори дискет. Оригінальний MBR зберігає за адресою 0/0/2, оригінальний boot-сектор флопі-диска – в останньому секторі кореневого каталога.

Pentagon. Небезпечний резидентний завантажувальний вірус. Частково зашифрований. Перехоплює INT 9, 13h і вражає boot-сектор флопі-дисків при зверненні до них. При зараженні диска оголошує в FAT збійні сектори і записує туди своє продовження і первинний boot-сектор (див. вірус "Brain"). Якщо при цьому дискета вже була уражена вірусом "Brain", то "Pentagon" лікує boot-сектор цього диска, змінює його мітку і потім заражає своєю копією. На диску, що заражається, створюється файл PENTAGON.TXT. Вірус "виживає" при теплому перезавантаженні. Містить тексти:

  • (c) 1987 The Pentagon, Zorell Group

  • first sector in segment

  • Stoned

При завантаженні із зараженого флопі-диска з вірогідністю 1/8 на екрані з'являється повідомлення "Your PC is now Stoned!". Крім вказаної, містять рядок "LEGALISE MARIJUANA!". "Stoned.с" при зараженні MBR вінчестера знищує Disk Partition Table, після цього комп'ютер можна завантажити тільки з флопі-диска. "Stoned.d" 1 жовтня знищує інформацію на вінчестері.

Hare. Дуже небезпечні резидентні файлово-завантажувальні стелс-полі­мор­фік-вирусы. Записуються в кінець COM- і EXE-файлів, в MBR вінчестера і boot-сектора дискет. У файлах зашифровані тричі. Застосовують поліморфізм як у файлах, так і в заражених секторах.

При запуску зараженого файла вірус розшифровує себе, заражає MBR, трасує і перехоплює INT 21h і повертає управління програмі-носію. Під Win95 він перехоплює також INT 13h. Потім вірус записується у файли при їх запуску, закритті або при виході в DOS (AH=0,31h,4Ch). При відкритті заражених EXE-файлів лікує їх.

При завантаженні із зараженої дискети вірус записується в MBR і повертає управління первинному boot-коду, при цьому вірус не залишає в пам'яті своєї резидентної копії.

При зараженні MBR вірус трасує INT 13h або напряму працює з портами контролера, потім записує своє продовження (15 секторів) в трек, що знаходиться за межами оголошеного розміру диска (LandZone?). Потім затирає Disk Partition Table (в результаті цього команда FDISK/MBR може привести до повної втрати даних на диску).

При завантаженні із зараженого MBR-сектора вірус відновлює Partition Table для того, щоб нормально завантажилася DOS (у цей момент стелс на рівні INT 13h ще не працює), потім зменшує розмір пам'яті (слово за адресою 00000413), копіює свій код в "відрізану" ділянку пам'яті, перехоплює INT 1Ch і передає управління первинному MBR-сектору. Перехопивши INT 1Ch, вірус чекає завантаження DOS, потім відновлює розмір системної пам'яті і перехоплює INT 13h, 21h, 28h. При першому виклику INT 28h він знову псує Disk Partition Table.

При викликах INT 13h вірус перехоплює звернення до флопі-дисків і заражає їх, для свого основного коду вірус форматує додатковий трек. При зверненнях до вже заражених дисків виконує стелс-програму.
5. Макро-віруси

Багато табличних і графічних редакторів, системи проектування, текстові процесори мають свої макро-мови для автоматизації виконання повторюваних дій. Ці макро-мови часто мають складну структуру і розвинений набір команд. Макро-віруси є програмами на макро-мовах, вбудованих у системи обробки даних. Для свого розмноження віруси цього класу використовують можливості макро-мов і при їх допомозі переносять себе з одного зараженого файла (документа, таблиці) в інші.

На кінець 1999 року відомо декілька систем, у яких виявлені макро-віруси. Це основні додатки Microsoft Office:

  • редактор MS Word – мова WordBasic у MS Word 6/7 і VBA (Visual Basic for Applications), почи­на­ю­чи з MS Word 8;

  • редактор таблиць MS Excel – мова VBA;

  • редактор баз даних MS Access – мова VBA;

  • редактор презентацій MS PowerPoint – мова VBA;

  • менеджер проектів MS Project – мова VBA.

Піддався зараженню макро-вірусами також редактор AmiPro – спеціальна скрипт-мова.

Найбільше поширення одержали макро-віруси для Microsoft Office (Word, Excel і PowerPoint). Віруси в інших додатках MS Office досить рідкі, а для AmiPro відомий всего один макро-вирус. Можливе також існування макро-вірусів і для інших систем, що підтримують макро-мови достатньої потужності.

Причини зараження макро-вірусами

Для існування вірусів у конкретній системі (редакторі) необхідна наявність вбудованої в систему макро-мови з такими можливостями:

  • програми на макро-мові прив'язані до документів (AmiPro) чи зберігаються в них (додатки MS Office);

  • у макро-мові присутні команди копіювання макро-програм з одного файла в іншій (AmiPro) або переміщати макро-програми у службові файли системи і файли, що редагуються (MS Office);

  • є можливість одержання керування макро-програмою без втручання корис­ту­вача (автоматичні чи стандартні макроси), тобто при роботі з файлом за певних умов (відкриття, закриття і т.д.) викликаються макро-програми (якщо такі є), що визначені спеціальним чином (AmiPro) чи мають стандартні імена (MS Office).

Дані можливості макро-мов призначені для автоматичної обробки даних у великих організаціях чи у глобальних мережах і дозволяють організувати так званий "автоматизований документообіг". З іншого боку, можливості макро-мов таких систем дозволяють вірусу переносити свій код в інші файли, і в такий спосіб заражати їх.

Більшість макро-вірусів можна вважати резидентними, оскільки вони присутні в області системних макросів протягом усього часу роботи редактора. Вони так само, як резидентні завантажувальні і файлові віруси, перехоплюють системні події і використовують їх для свого розмноження. До подібних подій відносяться різні системні виклики, що виникають при ро­боті з документами Word і таблицями Excel (відкриття, закриття, ство­рен­ня, печатка і т.д.), виклик пункту меню, натискання на яку-небудь кла­ві­шу чи досягнення певного моменту часу. Для перехоплення подій макро-віруси перевизначають один чи декілька системних макросів або функцій.

При зараженні деякі макро-віруси перевіряють наявність своєї копії в об'єкті, що заражається, і повторно себе не копіюють. Інші макро-вируси не роблять цього і переписують свій код при кожному зараженні. Якщо при цьому у файлі, що заражається, чи області системних макросів уже визначений макрос, ім'я якого збігається з макросом вірусу, то такий макрос виявляється знищеним.

Загальні відомості про віруси в MS Office

Фізичне розташування вірусу всередині файла залежить від його фор­мату, що у випадку продуктів Microsoft надзвичайно складний - кожен файл-документ Word, Office чи таблиця Excel являють собою послідов­ність блоків даних (кожний з який також має свій формат), об'єднаних між собою за допомогою великої кількості службових даних. Цей формат нази­ва­ється OLE2 (Object Linking and Embedding). Структура файлів Office (OLE2) нагадує ускладнену файлову систему дисків DOS: "кореневий ката­лог" документа або таблиці вказує на основні підкаталоги різних блоків даних, кілька таблиць FAT містять інформацію про розташування блоків даних у документі і т.д.

Більш того, система Office Binder, що підтримує стандарти Word і Excel дозволяє створювати файли, що одночасно містять один чи декілька документів у форматі Word і одну чи декілька таблиць у форматі Excel. При цьому Word-віруси здатні вражати Word-документи, а Excel-віруси - Excel-таблиці, і все це можливо в межах одного дискового файла. Те ж справедливо і для Office.

Слід зазначити, що Word версій 6, 7 і вище дозволяє шифрувати присутні в документі макроси. Таким чином, деякі Word-віруси присутні в заражених документах у зашифрованому (Execute only) виді.

Більшість відомих вірусів для Word несумісні з національними (у тому числі з російською) версіями Word, чи навпаки - розраховані тільки на локалізовані версії Word і не працюють під англійською версією. Однак вірус у документі все рівно залишається активним і може заражати інші комп'ютери з установленої на них відповідною версією Word.

Віруси для Word можуть заражати комп'ютери будь-якого класу, а не тільки IBM-PC. Зараження можливе у тому випадку, якщо на даному комп'ютері встановлений текстовий редактор, цілком сумісний з Microsoft Word версії 6 чи 7 (наприклад, MS Word for Macintosh). Те ж справедливо для Excel і Office.

Слід також зазначити, що складність форматів документів Word, таблиць Excel і особливо Office має таку особливість: у файлах-документах і таблицях присутні "зайві" блоки даних, тобто дані, що ніяк не пов'язані з текстом, що реда­гується, чи таблицями, або є випадковими копіями інших даних файла. Причиною виникнення таких блоків даних є кластерна організація даних у OLE2-документах і таблицях - навіть якщо введений всього один символ тексту, то під нього виділяється один чи навіть декілька кластерів даних. При збереженні документів і таблиць у кластерах, не заповнених "корисними" даними, залишається "сміття", що попадає у файл разом з іншими даними. Кількість "сміття" у файлах може бути зменшено скасуванням пункту настроювання Word/Excel "Allow Fast Save", однак це лише зменшує загальну кількість "сміття", але не забирає його цілком.

Наслідком цього є той факт, що при редагуванні документа його розмір змінюється незалежно від здійснених з ним дій – при додаванні нового тексту розмір файла може зменшитися, а при видаленні частини тексту – збільшитися. Те ж і з макро-вірусом при зараженні файла: його розмір може зменшитися, збільшитися чи залишитися незмінним.

Слід також зазначити той факт, що деякі версії OLE2.DLL містять невеликий недолік, у результаті якого при роботі з документами Word, Excel і особливо Office у блоки "сміття" можуть потрапити випадкові дані з диска, включаючи конфіденційні (вилучені файли, каталоги і т.д.). У ці блоки можуть потрапити також команди вірусу. У результаті після ліку­ван­ня заражених документів активний код вірусу видаляється з файла, але в блоках "сміття" можуть залишитися частина його команд. Такі сліди при­сутності вірусу іноді видимі за допомогою текстових редакторів і навіть мо­жуть викликати реакцію деяких антивірусних програм. Однак ці залиш­ки вірусу зовсім нешкідливі,Word і Excel не звертають на них ніякої уваги.

Принципи роботи Word/Excel/Office-вірусів

При роботі з документом Word виконує різні дії: відкриває документ, зберігає, друкує, закриває і т.д. При цьому Word шукає і виконує відпо­відні вбудовані макроси – при збереженні файла по команді File/Save ви­кликається макрос FileSave, при збереженні по команді File/SaveAs - FileSaveAs, при друці документів – FilePrint і т.д., якщо, звичайно, такі макроси визначені.

Існує також декілька "авто-макросів", що автоматично викликаються при різних умовах. Наприклад, при відкритті документа Word перевіряє його на наявність макросу AutoOpen. Якщо такий макрос присутній, то Word виконує його. При закритті документа Word виконує макрос AutoClose, при запуску Word викликається макрос AutoExec, при завер­шенні роботи – AutoExit, при створенні нового документа – AutoNew.

Схожі механізми (але з іншими іменами макросів і функцій) вико­ри­сто­вуються в Excel (Auto_Open, Auto_Close, Auto_Activate, Auto_­Deac­ti­vate) і в Office (Document_Open, Document_Close, Document_New), у яких роль авто- і вбудованих макросів виконують авто- і вбудовані функції, що є присутніми у якому-небудь макросі чи макросах, причому в одному макросі можуть бути присутні декілька вбудованих функцій.

Автоматично (тобто без участі користувача) виконуються також макро­си/функції, асоційовані з якою-небудь клавішею або моментом часу або датою, тобто Word/Excel викликають макрос/функцію при натисканні на яку-небудь конкретну клавішу (чи комбінацію клавіш) або при досяг­ненні якого-небудь моменту часу. У Office97 можливості по перехопленню подій дещо розширені, але принцип використовується той самий.

Макро-віруси, що вражають файли Word, Excel чи Office, як правило, користуються одним із трьох перерахованих вище прийомів – у вірусі або при­сутній авто-макрос (авто-функція), або перевизначений один зі стан­дарт­­них системних макросів (асоційований якимось пунктом меню), або макрос ві­ру­су викликається автоматично при натисканні на якусь клавішу чи ком­бінацію клавіш. Існують також напіввіруси, що не використовують цих прийомів і розмножуються, тільки коли користувач сам запускає їх.

Таким чином, якщо документ заражений, при відкритті документа Word викликає заражений автоматичний макрос AutoOpen (чи AutoClose при закритті до­кумента) і, таким чином, запускає код вірусу, якщо це не заборонено систем­ною змінною DisableAutoMacros. Якщо вірус містить макроси зі стандартними іменами, вони одержують керування під час виклику відповідного пункту меню (File/Open, File/Close, File/SaveAs). Якщо ж перевизначений який-небудь символ клавіатури, то вірус активізується тільки після натискання на відповідну клавішу.

Більшість макро-вірусів містять свої функції у вигляді стандартних макросів. Існують, однак, віруси, що використовують прийоми прихо­ву­ван­ня свого коду і зберігають свій код у вигляді не-макросів. Відомо три подібних прийоми, усі вони використовують можливість макросів ство­рю­вати, редагувати і виконувати інші макроси. Як правило, подібні віруси ма­ють невеликий (іноді – поліморфний) макрос-завантажник вірусу, що викликає вбудований редактор макросів, створює новий макрос, заповнює його основним кодом вірусу, виконує і потім, як правило, знищує (щоб сховати сліди присутності вірусу). Основний код таких вірусів присутній або в самому макросі вірусу у вигляді текстових рядків (іноді – зашифрованих), або зберігається в області змінних документа чи в області Auto-text.
Алгоритм роботи Word макро-вірусів

Більшість відомих Word-вірусів під час запуску переносять свій код (макроси) в область глобальних макросів ("загальні" макроси), для цього во­ни використовують команди копіювання макросів MacroCopy, Organi­zer. Co­py або за допомогою редактора макросів – вірус викликає йо­го, створює новий макрос, вставляє в нього свій код і зберігає його в документі.

При виході з Word глобальні макроси (включаючи макроси вірусу) автома­тично записуються в DOT-файл глобальних макросів (NOR­MAL. DOT). Таким чином, при наступному запуску редактора MS-Word вірус активізується в той момент, коли WinWord вантажить глобальні макроси, тобто відразу. Потім вірус перевизначає (чи вже містить у собі) один чи декілька стандартних макросів (наприклад, FileOpen, FileSave, FileSaveAs, FilePrint) і перехоплює в такий спосіб команди роботи з файлами. Під час виклику цих команд вірус заражає файл, до якого йде звертання. Цей вірус конвертує файл у формат Template (що унеможливлює подальші зміни формату файла, тобто конвертування в який-небудь не-Template формат) і записує у файл свої макроси, включаючи Auto-макрос.

Таким чином, якщо вірус перехоплює макрос FileSaveAs, то заражається ко­жен файл, що зберігається через перехоплений вірусом макрос. Якщо пере­хоп­лений макрос FileOpen, то вірус записується у файл при його зчитуванні з диска.

Другий спосіб впровадження вірусу в систему використовується значно рідше – він базується на так званих "Add-in" файлах, тобто файлах, що є службовими доповненнями до Word. У цьому випадку NORMAL.DOT не змінюється, а Word під час запуску завантажує макроси вірусу з файла (чи файлів), визначеного як "Add-in". Цей спосіб практично цілком повторює зараження глобальних макросів за тим виключенням, що мак­ро­си вірусу зберігаються не в NORMAL.DOT, а в якому-небудь іншому файлі.

Можливо також впровадження вірусу у файли, розташовані в каталозі STARTUP, – Word автоматично довантажує файли-темплейти з цього каталогу, але такі віруси поки що рідко зустрічаються.

Розглянуті вище способи впровадження в систему являють собою деякий аналог резидентних вірусів. Аналогом нерезидентности є макро-віруси, що не пе­ре­носять свій код в область системних макросів – для зараження інших файлів-до­ку­ментів вони або шукають їх за допомогою вбудованих у Word функцій роботи з файлами, або звертаються до списку останніх редагованих файлів (Recently used file list). Потім такі віруси відкривають документ, заражають його і закривають.
1   2   3   4   5   6   7

Схожі:

Лекція №4 Тема: Програмне забезпечення персональних комп’ютерів
Системне програмне забезпечення призначене для керування роботою складових комп’ютера та обміном даними між ними, діагностування...
Тема. Програмне забезпечення комп’ютерних систем Мета
Обладнання й матеріали: Комп’ютерний клас обладнаний в мережу, програмне забезпечення
ДНК-геномні віруси (герпес-, покс- і адено­віруси)
Тому знання теми необхідне лікарям усіх спеціальностей, в тому числі педіатрам, для правильного вибору методів діагностики, забезпечення...
18. Прикладне програмне забезпечення спеціального призначення
Прикладне програмне забезпечення спеціального призначення. Інструментальні програмні засоби для розв’язування прикладних задач з...
План Історія виникнення вірусів. Віруси “Pakistani Brain”, “Alameda...
Добра і Зла. Не обійшлися без цього протистояння і активні процеси комп’ютеризації суспільства
ЛІЦЕНЗІЙНИЙ ДОГОВІР НА ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ
БУДЬ ЛАСКА, УВАЖНО ПРОЧИТАЙТЕ ЦЕЙ ДОКУМЕНТ ПЕРЕД ВСТАНОВЛЕННЯМ АБО ВИКОРИСТАННЯМ ЦЬОГО ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ
Конспект уроку Тема уроку:  Компютерні віруси. Антивірусні програми
Познайомити учнів з видами комп’ютерних вірусів, навчити розпізнавати ці віруси; 
План-конспект лекції Тема: Запуск та налагоджування Internet. 
Апаратне забезпечення: Пристрій за допомогою якого будемо заходити в Інтернет (ноутбуки, КПК, мобільні телефони та ін.) та модем...
Лекція з навчальної дисципліни «КОНФЛІКТОЛОГІЯ»
Мета лекції: познайомити студентів з особливостями переговорного процесу та пояснити основні принципи проведення переговорів
Тема Кількість годин
ПК з пудключенням до мережі,необхідне програмне забезпечення, роздатковий матеріал
Додайте кнопку на своєму сайті:
Портал навчання


При копіюванні матеріалу обов'язкове зазначення активного посилання © 2013
звернутися до адміністрації
bibl.com.ua
Головна сторінка